いつもの前置き
・Splunkには色々なAppがある。
・とはいえコミュニティサポート(英語)のAppは始めるまでにちょっと敷居が高い。
・そこで私がトライした内容は後学のために共有したいと思いここに書き残します。
・ゆるい情報なので参考程度でご勘弁。
Splunk Security Essentialがとうとう日本語ローカライズされた?
・利用App
Splunk Cloud Gateway
とりあえず実際に見てみた
確かに日本語になっています。質はほぼGoogle翻訳したものと変わらない
しかし今までだと、Google翻訳かけると、参考となるSPLまで翻訳されてしまい意味がわからなくなっていたので、それがなくなっただけでもまずは良しとしたい。
ルールを検索するSecurity Contentsページに関してももちろん日本語になっている。
- ルールのフィルタ機能がずいぶんMITER ATT&CKフレームワークを意識した作りに変わっていることがわかる
早速、下記パラメータをセットして検索
1. Data Source: EDR
2. ATT&CK Technique: Command-Line Interface
3. Featured: All
- 昨今、EDR製品が注目されているが、splunkはMicrosoftの無償ツール sysmonとも相性がよく、マルウェアの振る舞いをプロセスから検知、監視することができるルールが複数用意されている。
- sysmonについてはこちらご参考ください。
6つのルールがヒットした
#### 「異常に長いCLIコマンドの検索」ルールを見てみよう
-
MITER ATT&CKでいうところのExecutionフェーズで使われる手口であることがわかる。Cyber Kill Chainフェーズにおいてもどこで有効かがわかる。
デモデータを元にしたサーチイメージとアウトプットイメージが表示されている
確かにプロセスの中でこんなに長いプロセスがあったら驚くな。
実際のデータで試したいなと思ったら
生データを検索
####ポイント:ルールは環境にあわせてチューニング可能
- たとえば以下のように4σから10σ外れているものを検知に変更する
| where maxlen>10*stdevperhost+avgperhost
まとめ
- Security Essentialを使って、せっかく収集したデータからプロアクティブに潜在的な脅威を発見するThreat Huntingを始められます
- そもそもルール適用する前にどんなログソースが必要なの?と疑問に思った方は下記ご参考ください。
SplunkとThreat Hunting - どうやらきれいにローカライズされたバージョンはまだ先になる模様。今回はgoogle翻訳レベルのbeta版みたいなものらしい、Version2.4であれば日本語で見れるが、すぐに修正版が出て、ローカライズ機能は一旦、消える模様です。。正式サポートを受けるのは常に最新版のAppを使う必要があるのでご留意ください。